МВД России сообщило о новой волне кибератак на гостиницы с применением технологий ИИ. По данным ГУ МВД по Санкт‑Петербургу и Ленобласти, группировка RevengeHotels, действующая с 2015 года, модернизировала инструменты и нацелена на кражу данных банковских карт постояльцев и другой информации из систем отелей.
Основной удар приходится на бразильские гостиницы, но инциденты зафиксированы также в Аргентине, Боливии, Чили, Коста‑Рике, Мексике и Испании. Ранее атаки группы отмечались в России, Беларуси, Турции, Малайзии, Италии и Египте.
Сценарий атаки — фишинговые письма под видом запросов на бронирование или откликов на вакансии в сфере гостеприимства. Во вложениях или ссылках скрыт переход на вредоносный ресурс; после открытия на устройство загружается троянец VenomRAT. Он даёт злоумышленникам удалённый доступ к скомпрометированным системам, позволяет выгружать данные платёжных карт гостей и другие чувствительные сведения.
Рекомендации отелям:
- обучать персонал распознаванию фишинга, проверять домены отправителей и вложения;
- включить многофакторную аутентификацию для почты и админ‑доступов;
- изолировать платёжные системы и базы данных от офисной сети, применять сегментацию;
- обновлять ПО и антивирусы, закрывать уязвимости, вести журналы событий;
- использовать почтовые шлюзы с песочницей и фильтрацией вложений/URL;
- хранить платёжные данные в соответствии со стандартом PCI DSS или передавать их внешним сертифицированным провайдерам;
- при инциденте изолировать заражённые хосты, сменить учётные данные, уведомить платёжных провайдеров и правоохранителей.